【技术实现步骤摘要】
本专利技术涉及堡垒机访问方法,尤其涉及一种共享nat网关自动化映射端口访问堡垒机和客户端的方法。
技术介绍
1、当前的网络架构中,我们通常会为堡垒机分配一个固定的访问ip地址或者访问域名,但这种做法会导致访问ip资源的极大浪费。尤其是在那些拥有众多堡垒机的大型机构中,为了确保每个堡垒机都能正常工作,这些机构不得不分配相应数量的访问ip地址,这样一来,成本就会变得非常高昂。此外,有些机构可能根本没有足够的访问ip地址可供分配给堡垒机使用。
2、另一方面,使用nat(网络地址转换)网关可以实现访问ip地址的共享,从而减少ip资源的浪费。但是,配置nat网关的工作量是相当巨大的。这不仅需要熟悉如何配置snat(源地址转换)和dnat(目的地址转换),还需要了解堡垒机服务所使用的具体端口,只有掌握了这些信息,才能正确地配置nat网关,确保堡垒机服务能够正常运行。
3、但是,即便我们已经了解了nat网关的配置方法以及堡垒机服务所使用的端口,仍然存在一个问题:堡垒机如何知道应该将数据返回给客户端的哪个端口?如果堡垒机无法确定服务对外映射的端口,就无法将正确的配置信息返回给客户端,这样一来,客户端软件将无法正确地访问堡垒机的对外映射访问端口,从而导致连接失败。
4、另外,在传统的网络架构中,用户在访问堡垒机和客户端软件时,往往需要手动配置端口映射,这不仅耗时耗力,而且容易出错,导致安全风险。
技术实现思路
1、为了克服现有堡垒机访问方法存在的上述缺陷,解决传统
2、场景描述:在云计算环境中,某个用户开通了多个堡垒机,但是只有一个公网访问ip。要实现一个ip对多个堡垒机的访问,可以搭建一个nat网关实例,绑定公网访问ip,并且配置nat网关实例的snat(源地址转换)和dnat(目的地址转换),实现用一个ip的不同端口来访问不同堡垒机。此时,虽然已经能够正确访问不同堡垒机,但仍然面临一个问题:堡垒机并不知道自己做了nat端口映射,从而不能正确地给用户的堡垒机客户端返回nat上的外部映射端口,导致堡垒机客户端访问资产失败(访问的是堡垒机内部的端口,而不是nat映射的端口)。要解决这个问题,除非堡垒机能够返回映射后的端口,否则手动配置会非常麻烦,甚至根本不存在可以手动配置的途径。
3、为了解决上述问题,应对复杂的配置和使用场景,本专利技术提出了一种通过共享网络地址转换(nat)网关自动化映射端口的方法,以便实现对堡垒机和客户端软件的便捷访问,同时通过自动化技术手段,提高了访问效率和安全性,有效解决了传统网络访问中存在的诸多问题。本方法的核心在于通过自动化技术手段,实现端口映射的智能化和自动化,从而联动nat网关服务和堡垒机服务,使得用户能够轻松地访问堡垒机和客户端软件,同时实现访问ip的复用。
4、具体地,本专利技术提供了一种共享nat网关自动化映射端口访问堡垒机和客户端的方法,如图3所示,本方法包括下述步骤:
5、s1.在云计算环境中开通一台或者多台堡垒机实例;
6、s2.用户登录堡垒机的管理页面,在管理页面中开启nat网关访问模式;
7、s3.堡垒机自动检测当前虚拟专属网络中是否存在nat网关实例,如果已经存在nat网关实例,堡垒机进入该实例中申请一些未使用的nat端口,然后堡垒机将自己的服务端口和主机私网ip与申请到的nat端口进行dnat映射,确保外部请求能够正确地转发到堡垒机上;
8、s4.完成dnat映射后,堡垒机将端口映射关系记录下来,用户在访问堡垒机实例和客户端软件时,可根据此记录自动获取到对应的公网访问ip和nat对外映射的端口。
9、进一步地,本专利技术共享nat网关自动化映射端口访问堡垒机和客户端的方法步骤s2中所述的堡垒机的管理页面负责开通、修改、删除、管理堡垒机。
10、进一步地,本专利技术共享nat网关自动化映射端口访问堡垒机和客户端的方法步骤s3中还包括:如果堡垒机未检测到nat网关实例,堡垒机自动调用nat网关服务(用例管理nat网关实例的服务)来创建一个新的nat网关实例,并将其与公网访问ip进行绑定。
11、进一步地,本专利技术共享nat网关自动化映射端口访问堡垒机和客户端的方法中,用户开启nat网关访问模式后的自动化配置过程包括以下步骤:
12、1)堡垒机管理服务申请访问ip和nat网关实例并绑定;
13、2)堡垒机管理服务申请空闲端口并配置映射到目标堡垒机实例的对应端口;
14、3)堡垒机管理服务将端口映射关系同步给对应的堡垒机实例,堡垒机实例唤起堡垒机客户端时,直接将映射后的端口下发给用户。
15、进一步地,用户可通过本专利技术共享nat网关自动化映射端口访问堡垒机和客户端的方法访问和使用堡垒机,访问过程如下:
16、1)管理员首先向用户提供堡垒机的公网访问ip地址以及web访问映射端口;
17、2)在用户尝试访问堡垒机时,nat网关服务自动将用户请求的端口映射到堡垒机的指定端口上,用户可通过该指定端口访问堡垒机的web服务;
18、3)当用户决定通过客户端使用ssh协议远程访问目标资产时,堡垒机服务将公网访问ip地址、ssh远程访问代理端口的公网映射端口,以及相关的认证连接信息发送到用户的堡垒机客户端;
19、4)用户收到信息后,堡垒机客户端自动唤起本地对应的应用程序;同时,客户端根据接收到的信息自动配置连接参数,确保用户能够顺利连接到堡垒机;
20、5)配置完成后,本地应用程序通过公网访问ip地址和公网映射端口来访问堡垒机服务;
21、6)nat网关服务再次将用户请求的端口映射到堡垒机的指定端口上,确保用户的请求能够正确地传递到堡垒机的ssh代理端口;
22、7)堡垒机的指定端口接收到用户的请求后,进行认证检查,认证通过后,堡垒机代理用户的请求到目标资产。
23、进一步地,本专利技术共享nat网关自动化映射端口访问堡垒机和客户端的方法中还包括:如果有多个堡垒机实例需要配置,系统通过申请不同的nat端口来实现nat网关实例和公网访问ip的复用,实现多个堡垒机实例共享同一个公网ip地址。
24、另一方面,本专利技术还提供了一种共享nat网关自动化映射端口访问堡垒机和客户端的系统,本系统运行时实现上述的共享nat网关自动化映射端口访问堡垒机和客户端的方法的步骤。
25、另外,本专利技术还提供了一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述程序被处理器执行时实现上述的共享nat网关自动化映射端口访问堡垒机和客户端的方法的步骤。
26、综上,本专利技术方法具有以下优点:
27、(1)通过本专利技术提出的自动化映射端口技术,用户无需手动配置端口映射,系统能够根据预设的规则和策本文档来自技高网...
【技术保护点】
1.一种共享NAT网关自动化映射端口访问堡垒机和客户端的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的共享NAT网关自动化映射端口访问堡垒机和客户端的方法,其特征在于,步骤S2中所述的堡垒机的管理页面负责开通、修改、删除、管理堡垒机。
3.根据权利要求1所述的共享NAT网关自动化映射端口访问堡垒机和客户端的方法,其特征在于,步骤S3中还包括:如果堡垒机未检测到NAT网关实例,堡垒机自动调用NAT网关服务来创建一个新的NAT网关实例,并将其与公网访问IP进行绑定。
4.根据权利要求1所述的共享NAT网关自动化映射端口访问堡垒机和客户端的方法,其特征在于,所述方法中用户开启NAT网关访问模式后的自动化配置过程包括以下步骤:
5.根据权利要求1所述的共享NAT网关自动化映射端口访问堡垒机和客户端的方法,其特征在于,用户可通过所述方法访问和使用堡垒机,访问过程如下:
6.根据权利要求1所述的共享NAT网关自动化映射端口访问堡垒机和客户端的方法,其特征在于,所述方法中还包括:如果有多个堡垒机实例需要配置,系统通过申请不
7.一种共享NAT网关自动化映射端口访问堡垒机和客户端的系统,其特征在于,所述系统运行时实现权利要求1-6任一项所述的共享NAT网关自动化映射端口访问堡垒机和客户端的方法的步骤。
8.一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述程序被处理器执行时实现权利要求1-6任一项所述的共享NAT网关自动化映射端口访问堡垒机和客户端的方法的步骤。
...【技术特征摘要】
1.一种共享nat网关自动化映射端口访问堡垒机和客户端的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的共享nat网关自动化映射端口访问堡垒机和客户端的方法,其特征在于,步骤s2中所述的堡垒机的管理页面负责开通、修改、删除、管理堡垒机。
3.根据权利要求1所述的共享nat网关自动化映射端口访问堡垒机和客户端的方法,其特征在于,步骤s3中还包括:如果堡垒机未检测到nat网关实例,堡垒机自动调用nat网关服务来创建一个新的nat网关实例,并将其与公网访问ip进行绑定。
4.根据权利要求1所述的共享nat网关自动化映射端口访问堡垒机和客户端的方法,其特征在于,所述方法中用户开启nat网关访问模式后的自动化配置过程包括以下步骤:
5.根据权利要求1所述的共享nat网关自动化映射...
【专利技术属性】
技术研发人员:廖胜才,
申请(专利权)人:中电云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。